OT-Netzwerkstandard in allen Werken implementieren – Praxistipps für eine erfolgreiche Umsetzung

Von der Theorie in die erfolgreiche Implementierung eines sicheren OT-Netzwerkstandards ist es ein weiter Weg. Die praktische Umsetzung erfordert meist lange Projektlaufzeiten, in denen eine komplexe Ausgangslage viele Herausforderungen mit sich bringt. Auf welche Hürden wir in Projekten immer wieder stoßen und wie diese zu überwinden sind, ist Thema dieses Artikels.

Warum ein OT-Netzwerkstandard wichtig ist

Die zunehmende Digitalisierung industrieller Systeme bringt einen massiven Anstieg des Datendurchsatzes, steigende Aufwände im Betrieb und wachsende Security-Anforderungen mit sich. Diese Entwicklung stellt Anlagenbetreiber vor eine enorme Herausforderung. Bestehende historisch gewachsene OT-Netzwerke mit unzureichend gesicherten Legacy-Systemen müssen sicher und zukunftsfähig gemacht werden. Eine Migration liefert die leistungsstarke Basis-Infrastruktur, die Produktionsprozesse in modernen skalierbaren Industrieumgebungen benötigen.

Ein global ausgerollter OT-Netzwerkstandard bietet eine systematische und verlässliche Grundlage, um Risiken zu minimieren. Damit erfüllen Sie grundlegende Anforderungen der NIS2. Außerdem unterstützt ein OT-Netzwerkstandard Sie dabei, die zunehmende Komplexität im Produktionsnetzwerk zu kontrollieren und die Effizienz im Betrieb zu erhöhen.

Mehr über die Grundlagen eines sicheren OT-Netzwerks finden Sie hier.

Zuerst die nötigen Grundlagen schaffen

Um einen globalen OT-Netzwerkstandard entwickeln und global ausrollen zu können, müssen wichtige Grundlagen gelegt werden, auf denen Ihr Projekt aufbauen kann:

OT-Organisation

Klare Verantwortlichkeiten und ein „Single Point of Accountability“ erleichtern die Kommunikation und Entscheidungsfindung im Projekt maßgeblich. Ausreichende Personalressourcen mit umfassender OT-Expertise sind wichtig, um das Projekt erfolgreich durchzuführen und im Anschluss das Betriebskonzept umzusetzen.

Eine OT-Organisation als zentrale Abteilung für die Belange der OT übernimmt die Verantwortung für die Entwicklung und den Betrieb der OT-Infrastruktur und liefert eine Schnittstelle zur OT-Security.

OT-Asset-Management

Transparenz über Assets und Kommunikationsbeziehungen ist elementar, um das Netzwerk entsprechend der bestehenden Abhängigkeiten zu strukturieren.

OT-Asset-Management liefert relevante aktuelle Informationen zu Assets und zu ihren Zuständen, ihre Anlagenzugehörigkeit und bekannte Schwachstellen. Diese Daten sind wichtig, um bestehende Risiken zu bewerten und ein geeignetes Zellenkonzept entwickeln zu können. Vorhandene Angaben zum Asset Owner und Lieferanteninformationen unterstützen Sie dabei, wichtige Ansprechpartner für das Projekt schnell zu identifizieren.

Umsetzung eines globalen OT-Netzwerkstandards

Das Ziel der Implementierung eines OT-Netzwerkstandards ist es, alle Systeme und Geräte aus einem unsegmentierten Netzwerk (CMO/Ist-Zustand) in eine segmentierte, strukturierte Zielarchitektur (FMO/Soll-Zustand) zu überführen. Die dabei entwickelten Vorgaben dienen als einheitlicher Standard für die Anwendung in allen Werken.

Die Umsetzung erfolgt in separaten Projekten für die einzelnen Phasen:

Schaffen Sie eine solide Projektbasis

Die Migration eines Netzwerks ist eine komplexe Aufgabe, für die es in der Regel im Unternehmen nur wenig Erfahrungswerte gibt. Das gilt sowohl für die technischen als auch für die organisatorischen Aspekte. Verfahrensweisen, die sich in anderen Unternehmen bereits bewährt haben, sind hilfreich, um Herausforderungen zu meistern.

Beachten Sie grundlegende Aspekte, die für den Projekterfolg wichtig sind und schaffen Sie geeignete Rahmenbedingungen.

Theorie vs. Praxis

Theoretische Grundsätze und Vorgaben für die Migration bilden ein wichtiges Fundament. Wenn die Theorie aber über die Praxis gestellt wird, geraten Projekte oft ins Stocken, oder es treten entweder im Projektverlauf oder später im Betrieb Probleme auf, weil die Lösung dort nicht funktioniert.

Praxistipps:

• Bewerten Sie die Theorie, an der Sie sich ausrichten, immer wieder im Kontext der Anforderungen in Ihrem Betrieb.

• Führen Sie Anpassungen durch, wenn sich die Perspektive im Projektverlauf ändert, beispielsweise weil sich neue bisher unbekannte Anforderungen zeigen.

Projektteam: Ressourcen, Expertise und Motivation

Im Projektteam wird IT-Expertise gebraucht, aber gleichermaßen ein Verständnis für die Produktionsprozesse und für die spezifischen Anforderungen in der OT. Entsprechend groß ist das Projektteam. Die Mitglieder wechseln, wer bei der Erarbeitung des Architekturmodells mitarbeitet, setzt es üblicherweise später nicht um. Dazu kommen externe Parteien wie Lieferanten und Consultants.

Praxistipps:

• Achten Sie auf eine Kommunikation auf Augenhöhe innerhalb des Projektteams. Begriffe, die in verschiedenen Bereichen unterschiedlich besetzt sein können, sollten geklärt sein.
  Ein gemeinsames Verständnis ist unerlässlich, um alle Phasen aufeinander abzustimmen und die Motivation zu erhalten.
  Klären Sie dafür initial und bei Bedarf wiederkehrend:
  • Was wollen wir erreichen?
  • Wie gehen wir dabei vor?
  • Warum gehen wir so vor, wie wir es beschlossen haben?

Machen Sie deutlich, welcher Nutzen sich durch den Projekterfolg für das Unternehmen ergibt. Das ist mehr als nur die Erfüllung regulatorischer Anforderungen.

• Weisen Sie Rollen und Verantwortlichkeiten vor Projektbeginn klar zu und unterstützen sie diese konsequent.

Budget- und Ressourcenplanung

Aufgrund von fehlender Dokumentation und unklaren Zuständigkeiten benötigen OT-Migrationsprojekte oft mehr Zeit und Mittel als ursprünglich angedacht. Eine realistische Ressourcenplanung, einschließlich ausreichend geblockter Kapazitäten aus IT, Werk und Lieferanten, ist komplex.

Praxistipps:

• Stellen Sie sicher, dass Ressourcen und Zeitrahmen realistisch bemessen sind. OT-Projekte dürfen keine Nebentätigkeit sein – sie erfordern vollen Fokus und sollten die entsprechende Priorisierung erhalten. Eine OT-Organisation stellt nicht nur Fachpersonal für die Implementierung und den Rollout, sondern übernimmt im Anschluss auch die Verantwortung für den Betrieb.

• Planen Sie dynamisch im Verlauf des Projekts und passen Sie Ressourcen entsprechend veränderten Anforderungen an. Externe Experten können wichtige Erfahrungswerte mitbringen, beispielsweise um ein Projekt stringent voranzutreiben.

• Für nötige Budgetanpassung zahlt es sich aus, proaktiv zu kommunizieren. Halten Sie die Stakeholder und Ihr Management mit einem guten Projektmarketing über den Projektstatus und bereits erzielte Erfolge up to date.

Technische Herausforderungen in den Projektphasen

In OT-Netzwerkprojekten treten in den einzelnen Phasen häufig spezifische Hürden auf. Darauf können Sie sich entsprechend vorbereiten.

Architekturprojekt

Eine wichtige Voraussetzung, um ein geeignetes Architekturmodell zu erarbeiten, ist ein umfassendes Verständnis von IT & OT sowie eine klare Orientierung an der IEC 62443.

Beim Vorgehen ist es wichtig, “über den Tellerrand” zu blicken. Berücksichtigen Sie, wie und durch wen das OT-Netzwerk betrieben wird und welche Implikationen sich aus der Architektur für die Designphase ergeben.

IP-Konventionen und Netzressourcen

Oft werden bestehende IT-Vorgaben und Standards nicht speziell für OT-Netzwerke angepasst. Dies äußert sich häufig durch eine unzureichende Zuweisung von Netzen und IP-Adressen. Die Limits in der Anzahl nutzbarer Netzbereiche und Hosts schränken die Flexibilität und Skalierbarkeit ein und machen Erweiterungen während des Rollouts notwendig. Solche nachträglichen Änderungen erfordern jedoch enorme Zeit- und Kostenaufwände

Praxistipp:

• Lassen Sie bei der Netzplanung für die OT „Luft nach oben”, indem Sie IP Ranges großzügig reservieren. Um ihre Planung zukunftssicher zu machen, sollten Sie auch Anforderungen für potenzielle Erweiterungen und Virtualisierungen mitdenken.

Zonenkonzept nach der IEC 62443

Eine durchdachte Segmentierung ist unverzichtbar für die Sicherheit im OT-Netzwerk. Diese wird bereits durch eine Trennung von IT- und OT-Netzen und Makrosegmentierungen auf Netzwerkebene deutlich erhöht. Eine Mikrosegmentierung im Anschluss optimiert die Netzwerksicherheit.

Dafür müssen VLAN-Standards eindeutig definiert sein. Oft fehlt jedoch eine klare Strategie zur Zuweisung von IP-Adressen und VLAN-Bereichen – besonders über mehrere Standorte hinweg.

Praxistipps:

• Halten Sie sich bei der Entwicklung eines einheitlichen Zonenkonzepts eng an die IEC 62443.

• Definieren Sie VLAN-IDs und IP-Regeln frühzeitig in der Planungsphase. Eindeutige Namenskonventionen für diese Bereiche bringen Klarheit und erleichtern zukünftige Migrationen.

Designprojekt

Für die Migration vom CMO (Current Mode of Operation) zum FMO (Future Mode of Operation) wird ein strukturiertes Zellendesign erarbeitet. Die Basis dafür ist eine Bewertung der bestehenden Risiken (RIA, BIA). Daraus ergibt sich die Kritikalität der einzelnen Anlagen, aus der die Priorisierung für ihre Migration abgeleitet werden kann.

Zellen-/VLAN-Definition

Zellen bilden die Grundlage moderner OT-Netzwerke, doch deren Definition und VLAN-Zuordnung erfolgt oftmals erst spät im Projektverlauf. Fehlende Entscheidungen oder ein mangelndes Verständnis der Architektur können den gesamten Zeitplan signifikant verzögern.

Praxistipp:

• Definieren Sie einheitliche Namenskonventionen für Zellen, IP-Bereiche und VLAN-IDs, die Sie auch den Standorten standardisiert zur Verfügung stellen.

Manuelle Datenerhebung

Eine der größten Herausforderungen in der Designphase ist der Mangel an verlässlichen Daten zu bestehenden Systemen. Häufig fehlen transparente Informationen über Kommunikationsstrukturen, Protokolle und Ports, was eine manuelle Datenerhebung erfordert. Dies erhöht nicht nur den Projektaufwand, sondern birgt auch Fehlerpotenziale.

Praxistipps:

• Validieren Sie die bestehende Dokumentation gründlich, um Lücken frühzeitig zu schließen.

• Entwickeln und nutzen Sie eine Kommunikationsbeziehungsmatrix, um transparente Kommunikationswege zwischen Geräten zu dokumentieren. Arbeiten Sie eng mit den Anlagenverantwortlichen zusammen, um eine klare Zuordnung von Systemen zu Anlagen zu gewährleisten.

• Ein OT-Asset-Management mit einem gepflegten aktuellen Inventar verringert die manuellen Aufwände im Netzwerkprojekt wesentlich, denn es liefert viele relevante Daten, um wichtige Ableitungen zu treffen.

Ports und Protokolle

Klare Kommunikationsstrukturen sind entscheidend. Ohne eine dezidierte Protokoll- und Portplanung können Kommunikationsprobleme auftreten. Fehlinformationen oder unvollständige Daten über genutzte Ports und Protokolle behindern einen erfolgreichen Rollout.

Praxistipps:

• Holen Sie frühzeitig die erforderlichen Informationen über Protokolle und Ports von den Lieferanten ein und erfassen Sie diese systematisch in einer zentralen Kommunikationsbeziehungsmatrix.

• Klären Sie, ob eingesetzte Switche managebar sind und ob Sie für jeden Port eine VLAN-Konfiguration benötigen. Beispielsweise werden Management-Interfaces in ein separates LAN platziert, nutzen aber denselben Switch. Somit sind unterschiedliche VLAN-Konfigurationen auf den Ports nötig.

Migrationsvorbereitung und Rollout

Eine sorgfältige Vorbereitung der Migration ist entscheidend für den Erfolg Ihres OT-Netzwerkprojekts. Alle infrastrukturellen, organisatorischen und zeitlichen Abhängigkeiten müssen exakt geplant und koordiniert werden.

Wichtige Punkte, auf die Sie sich vorbereiten müssen:

Alle Details der Migration klären und zugänglich machen

OT-Projekte sind systemkritisch und erfordern die Zusammenarbeit vieler Akteure. Es ist essenziell, vorher zu definieren, welche Systeme in welche Zellen migriert werden und wie die Segmentierung auszusehen hat.

Praxistipps:

• Entwickeln Sie vollständige Migrationsdokumente mit klar definierten Absprachen, Verantwortlichkeiten und Zeitplänen für den Rollout.

• Beschreiben Sie jeden Schritt klar und verteilen Sie die Anleitung auf die jeweiligen Verantwortlichen im Projekt.

• Synchronisieren Sie alle Aufgaben, um sicherzustellen, dass die Anforderungen eingehalten werden.

Downtime minimieren

OT-Migrationsprojekte haben oft begrenzte Zeitfenster, in denen die Produktion angehalten werden kann. Eine detaillierte Downtime-Planung und Rollback-Strategie sind notwendig, um sicherzustellen, dass innerhalb der festgelegten Umzugszeit alles funktioniert – einschließlich Fallback-Pläne für Notfälle.

Praxistipp:

• Migrieren Sie so viel wie möglich außerhalb des laufenden Betriebs. Minimieren Sie den Einfluss auf die Produktion, indem Kernaktivitäten (z. B. Tests, physische Änderungen) nach Möglichkeit nachts oder während geplanter Stillstand-Zeitfenster durchgeführt werden.

Mitwirkung von Herstellern und Lieferanten

Hersteller sind wichtige Partner beim Umzug der Anlagen in die Netzsegmente. Sie benötigen vorab alle notwendigen Informationen, wie spezifische Anforderungen der Migration, Kommunikationsprotokolle oder Portanforderungen.

Praxistipp:

• Beziehen Sie Ihre Lieferanten frühzeitig in die Planung ein.

Hardwareverfügbarkeit

Am Tag der Migration muss die benötigte Hardware einsatzbereit sein.

Praxistipp:

• Sorgen Sie dafür, dass alle Hardware-Komponenten (z. B. Switches, Firewalls) frühzeitig bestellt, getestet, konfiguriert und verfügbar sind, damit unerwartete Lieferverzögerungen nicht zum Problem werden.

Diese Herausforderungen sind typisch und treten im Verlauf von Netzwerkprojekten häufig auf. Wenn Sie die beschriebenen Themen und wie Sie damit umgehen können im Blick haben, sind viele Unwägbarkeiten im Projektverlauf vermeidbar und Sie können Ihr Projekt erfolgreich abschließen.

Fazit

Ein OT-Netzwerkstandard ist für den langfristigen Erfolg industrieller Digitalisierung unverzichtbar. Neben dem sicheren Betrieb und einer verbesserten Effizienz bietet er auch die Grundlage für Nachhaltigkeit und Flexibilität. Für eine erfolgreiche Umsetzung ist eine professionelle Planung, ein abgestimmtes Konzept sowie die Zusammenarbeit aller involvierten Parteien essenziell.